U盘病毒Win32.Downloader分析及查杀方法

相信很多朋友都遇到过各种downloader病毒，Win32.Downloader病毒也很常见，Win32.Downloader.a、Win32.Downloader.b等等都是Win32.Downloader病毒的变种，最近有出来了Win32.Downloader.l，怎样删downloader病毒呢？本文就来介绍一下Win32.Downloader.l病毒以及Win32.Downloader.l的查杀方法。

　　U盘病毒Win32.Downloader.l

　　这是一个可以通过U盘传播的感染下载者病毒，感染方式与之前的Win32.Downloader.b相类似

　　File: WIN.exe

　　Size: 46080 bytes

　　Modified: 2007年11月10日， 11:32:50

　　MD5: 7D34F8E8B1B1FE8083A4304E6C2986C7

　　SHA1: 88B8BA72421F90A86E6208576AA6178EB77B5571

　　CRC32: C860ED8A

　　加壳方式：UPX

　　AV命名：Win32.Downloader.l（瑞星）

　　Win32.Downloader.l病毒行为：

　　1.病毒运行后，会检测移动存储设备

　　并且写入Autorun.exe，autorun.inf，AutoRun.vbs文件

　　达到随移动存储传播的目的

　　autorun.inf内容

　　[AutoRun]

　　open=WScript.exe AutoRun.vbs

　　shellexecute=WScript.exe AutoRun.vbs

　　shell\Auto\command=WScript.exe AutoRun.vbs

　　AutoRun.vbs内容

　　Dim WshShell

　　Set WshShell = Wscript.CreateObject（“Wscript.Shell”）

　　return=WshShell.Run（“AutoRun.exe”,2,false）

　　return=WshShell.Run（“\”,3,false）

　　2.遍历所有磁盘分区，感染除如下文件夹内的。exe和。scr文件

　　WINDOWS

　　WINNT

　　RECYCLER

　　System Volume Information

　　InstallShield Installation Information

　　Internet Explorer

　　Outlook Express

　　NetMeeting

　　Common Files

　　Messenger

　　Windows Media Player

　　WinRAR

　　MSOCache

　　Documents and Settings

　　感染方式与Win32.Downloader.b类似。

　　在尾部被加入一个节的内容，该节的内容一般为带有下载功能的代码，用于联网下载新的病毒。下载的病毒即为该病毒的主程序（http://*.cn/main.exe）一般下载到%Program Files%\Common Files下面。

　　3.连接网络下载木马和病毒

　　http://*.cn/m1.exe~http://*.cn/m3.exe

　　到%Program Files%\Common Files下面

　　其中http://*.cn/m3.exe链接已经失效

　　4.病毒体内有如下字样：“wokaon”

　　下载的木马和病毒完全植入完毕以后的sreng如下

　　启动项目

　　服务

　　[COM+ Windows System / WinCOM][Running/Auto Start]

　　{%systemroot%\system32\wincom.exe}{Microsoft Corporation}

　　[Remote Procwedure Call Systam（RPCSddcmh） / RpcSdochdm][Running/Auto Start]

　　{%systemroot%\system32\Rpccwdamh.exe}{Microsoft Corporation}

###################################################################################
零度电脑知识网是电脑基础知识学习的专业网站,为电脑初学者提供入门电脑基础知识、电脑基础知识视频、电脑基础知识讲座、下载电脑基础知识,学习电脑基础知识就在零度电脑知识网!如果你想了解更多与“U盘病毒Win32.Downloader分析及查杀方法”相关问题，请关注病毒安全版块中的更多文章！
###################################################################################

Win32.Downloader.l清除办法：

　　下载sreng：http://download.wxiu.com/wxgj/tools/200908/20-6440.html

　　启动计算机进入安全模式下（开机后不断 按F8键  然后出来一个高级菜单 选择第一项 安全模式 进入系统）

　　1.打开sreng

　　“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，

　　选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

　　[COM+ Windows System / WinCOM][Running/Auto Start]

　　{%systemroot%\system32\wincom.exe}{Microsoft Corporation}

　　[Remote Procwedure Call Systam（RPCSddcmh） / RpcSdochdm][Running/Auto Start]

　　{%systemroot%\system32\Rpccwdamh.exe}{Microsoft Corporation}

　　双击我的电脑，工具，文件夹选项，查看，单击选取“显示隐藏文件或文件夹” 并清除“隐藏受保护的操作系统文件（推荐）”前面的钩。在提示确定更改时，单击“是” 然后确定

　　点击  菜单栏下方的 文件夹按钮（搜索右边的按钮）

　　在左边的资源管理器中单击系统盘

　　删除如下文件

　　%systemroot%\system32\drivers\winsys.sys

　　%systemroot%\system32\wincom.exe

　　%systemroot%\system32\Rpccwdamh.exe

　　%systemroot%\system32\Rpccwdamh.dll

　　2.修复被感染的exe和scr文件

　　使用杀毒软件全盘杀毒，注意，杀毒的时候要选择“清除病毒”，这样可以修复被感染的exe文件而不是直接删除被感染的exe文件。

病毒安全版块中有更多和“U盘病毒Win32.Downloader分析及查杀方法”相关的文章，零度电脑知识网对于这方面的介绍文章还是比较多的。如果你喜欢学习电脑知识，请记住本站唯一域名www.needc.com